Compartilhar via

Visão geral dos certificados CNG v3

  • Artigo

Configuration Manager suporta certificados Cryptography: Next Generation (CNG). Configuration Manager clientes podem utilizar um certificado de autenticação de cliente PKI com a chave privada gerada e armazenada num Fornecedor de Armazenamento de Chaves CNG (KSP). Com o suporte do KSP, Configuration Manager clientes suportam chaves privadas baseadas em hardware, como um KSP de TPM para certificados de autenticação de cliente PKI.

Observação

Ao utilizar certificados CNG, Configuration Manager clientes só suportam certificados que utilizem o algoritmo criptográfico RSA.

Cenários com suporte

Pode utilizar a API de Criptografia: modelos de certificado v3 de Próxima Geração (CNG) para os seguintes cenários:

  • Registo de cliente e comunicação com um ponto de gestão HTTPS
  • Distribuição de software e implementação de aplicações com um ponto de distribuição HTTPS
  • Implantação do SO
  • SDK de mensagens de cliente (com atualização mais recente) e Proxy ISV
  • Configuração do gateway de gestão da cloud (CMG)
  • Aplicações disponíveis direcionadas para o utilizador no Centro de Software

Utilize também certificados CNG v3 para as seguintes funções de servidor compatíveis com HTTPS:

  • Ponto de gerenciamento
  • Ponto de distribuição
  • Ponto de atualização de software
  • Ponto de migração de estado
  • Ponto de registo de certificados, incluindo o servidor do NDES com o módulo de política de Configuration Manager

Observação

O CNG é retrocompatível com a API Crypto (CAPI). Os certificados CAPI continuam a ser suportados mesmo quando o suporte CNG está ativado no cliente.

Cenários não suportados

Os seguintes cenários não são atualmente suportados:

  • As seguintes funções de servidor não estão operacionais quando instaladas no modo HTTPS com um certificado CNG v3 vinculado ao site nos Serviços de Informação Internet (IIS):

    • Ponto de inscrição
    • Ponto proxy de inscrição

Para utilizar certificados CNG

Para utilizar certificados CNG v3, a sua autoridade de certificação (AC) tem de fornecer modelos de certificado CNG para máquinas de destino. Os detalhes do modelo variam de acordo com o cenário; no entanto, são necessárias as seguintes propriedades:

  • Separador Compatibilidade

    • A Autoridade de Certificação tem de ser Windows Server 2008 ou posterior. (recomenda-se Windows Server 2012.)

    • O destinatário do certificado tem de ser Windows Vista/Server 2008 ou posterior. (recomenda-se Windows 8/Windows Server 2012.)

  • Separador Criptografia

    • A Categoria do Fornecedor tem de ser Fornecedor de Armazenamento de Chaves. (obrigatório)

    • O nome do algoritmo tem de ser RSA. (obrigatório)

    • O pedido tem de utilizar um dos seguintes fornecedores: tem de ser o Fornecedor de Armazenamento de Chaves de Software da Microsoft.

Observação

Os requisitos para o seu ambiente ou organização podem ser diferentes. Contacte o seu especialista em PKI. O ponto importante a considerar é que um modelo de certificado tem de utilizar um Fornecedor de Armazenamento de Chaves para tirar partido do CNG.

Para obter os melhores resultados, recomendamos a criação do Nome do Requerente a partir das informações do Active Directory. Utilize o Nome DNS para o formato de Nome do requerente e inclua o nome DNS no nome do requerente alternativo. Caso contrário, tem de fornecer estas informações quando o dispositivo se inscrever no perfil de certificado.